С необходимостью двухфакторной аутентификации (two-factor authentication) для важных служебных и личных аккаунтов — особенно, связанных с оборотом финансовых средств — уже никто не спорит. Но усиленная аутентификация клиента в социальных сетях многим кажется чрезмерной предосторожностью. Ведь соцсети, как правило, служат только для развлечения, общения с друзьями, просмотра новостей. Денежные средства в них не “крутятся”, корпоративные секреты не хранятся. Что там может заинтересовать хакеров? Однако, для сетевых мошенников интересен буквально каждый пользователь интернета. И события последнего времени как нельзя лучше подтверждают эту истину.
С начала этого года бушует настоящая эпидемия разглашения конфиденциальной информации частных пользователей. Причем, от утечек пострадала система защиты данных сразу нескольких крупнейших социальных сетей. Мы уже писали о скандале с LinkedIn. А буквально через пару недель после случившегося хакер под ником Peace_of_mind, который ранее продавал данные с LinkedIn, Tumblr и MySpace на «черном рынке” интернета, обнародовал новые “коммерческие предложения”: более 100 млн. учетных записей социальной сети ВКонтакте, а вслед за ними — 379 млн. аккаунтов Twitter. (По статистике, каждый месяц Twitter имеет 310 млн. активных пользователей. Но, видимо, в базу попали и те, кто уже давно не заходит на свою страничку в Twitter.)
Агрегатор утечек LeakedSourse получил от анонимного доброжелателя дамп выставленных на продажу баз и сообщил, что в них содержатся ФИО, адреса электронной почты, пароли и телефоны, привязанные к аккаунтам. На сайте LeakedSourse можно проверить, попал ли тот или иной аккаунт в число скомпрометированных. Правда, процедура эта не бесплатная.
У всех последних инцидентов есть одна общая черта: утечки данных произошли не сегодня. Большинство из них случилось в промежутке между 2011-2013 годами. Казалось бы, можно облегченно перевести дух: за такое продолжительное время старые секреты утратили актуальность, пароли к аккаунтам и другие регистрационные данные давно сменились. Реальность же оказалась не столь утешительной. Специалистами были проверены 100 случайных e-mail из числа скомпрометированных и выяснилось, что 92 до сих пор привязаны к ученым записям пользователей.
От взломов соцсетей пострадал сам отец-основатель Facebook Марк Цукерберг. Хакеры завладели его аккаунтами в Twitter и Pinterest, в доказательство чего даже опубликовали обращение к Цукербергу на его странице. Утверждалось также, что был получен доступ и к учетной записи Марка в Instagram. (Ирония в том, что сервис этот принадлежит Facebook.) Правда, это заявление не подтвердилось. Взлом стал возможен из-за того, что среди похищенных паролей LinkedIn оказался и принадлежащий Цукербергу. Тот же самый пароль использовался им в Twitter, что помогло взломщикам скомпрометировать и эту учетную запись. Правда, выяснилось, что аккаунт Цукерберга в сети микроблогов не используется еще с 2012 года. Возможно, именно этим объясняется то, что хозяин не заботился о регулярном изменении пароля и прочих мерах, которые предусматривают правила защиты данных пользователя. Как видим, создателю Facebook оказались свойственны те же ошибки, что и обычным людям: один пароль для нескольких учетных записей и отсутствие двухфакторной аутентификации.
Выводы, которые можно сделать из череды взломов крупнейших социальных сетей, не новы, но по-прежнему актуальны.
Больше внимания паролям
Рейтинги самых плохих и предсказуемых паролей опубликованы во многих источниках — и в нашем блоге тоже. Стоит ознакомиться с ними и избегать применения этих “шедевров” для защиты своих аккаунтов.
Но даже самые сложные пароли нуждаются в периодической замене — хотя бы раз в несколько месяцев.
Логина и пароля недостаточно
Все больше сайтов (и социальные сети относятся к их числу) предоставляют своим пользователям возможность подключения к учетной записи двухэтапной аутентификации. К сожалению, до сих пор не все понимают важность 2FA и не хотят тратить время на эту процедуру. Между тем, усиленная аутентификация поможет сохранить контроль над своим аккаунтом даже тогда, когда мошенникам стали известны пароль и e-mail к нему. Без знания временного пароля (one time password), необходимого для авторизации, завладеть учетной записью у злоумышленников не получится.
Стоит ли использовать в социальных сетях двухфакторную аутентификацию и одноразовые пароли? На этот вопрос каждый пользователь должен ответить сам.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!